Transcrição
PDF
GUTACHTEN Wahlmaschinen bei der Bundestagswahl 2009 Studentische Ausarbeitung im Rahmen der Veranstaltung Information Rules I im WS2006/07 an der TU Berlin Kai Dietrich, Clarissa Meyer, J. Niendorf Februar 2007 DISCLAIMER: Dies ist ein ktives Gutachten. Die hier getroenen Aussagen dienen lediglich der Erfüllung der gestellten Aufgaben. Die Autoren sind der Meinung, dass elektronische Wahlgeräte prinzipiell unsicher sind und nicht eingesetzt werden sollten. Mehr Information zu Sicherheitsproblemen bei Wahlmaschinen unter: http://itpolicy.princeton.edu/voting/ und F IK T IV http://www.wijvertrouwenstemcomputersniet.nl/ All texts in this work are licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.0 http://creativecommons.org/licenses/by-nc-sa/2.0/ de/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, License. To view a copy of this license, visit USA. The copyright of all images belongs to their respective owners. GUTACHTEN Wahlmaschinen bei der Bundestagswahl 2009 Gutachten im Auftrag des Bundesministerium des Innern Ausgeführt durch Lufthansa Systems AG, Allpen GmbH Hamburg, Nokia GmbH Kai Dietrich, Clarissa Meyer, J. Niendorf Februar 2007 Inhaltsverzeichnis 1 2 Executive Summary 1.1 Kurzbeschreibung 1.2 Empfehlungen 2.2 6 2 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1.1 Technische Funktionsweise Das Digitalstift-Verfahren . . . . . . . . . . . . . . . . . . . . . . . 3 2.1.2 Der Digitalstift . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.3 Die Wahlsoftware . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.1.4 Drei-Dockingstations-Verfahren . . . . . . . . . . . . . . . . . . . . 9 Ablauf einer Wahl mit dem Digitalen Wahlstift . . . . . . . . . . . . . . . . 11 2.2.1 Vor der Wahl 11 2.2.2 Während der Wahl . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.2.3 Nach der Wahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DRE-Systeme mit und ohne VVPAT 13 Technische Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.1.1 Allgemeiner Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.1.2 Unterschiede bei DRE-Geräten mit VVPAT . . . . . . . . . . . . . . 14 Wahlablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2.1 Vorbereitung der Wahl . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2.2 Ablauf für den Wähler . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2.3 Auswertung der Wahl 16 . . . . . . . . . . . . . . . . . . . . . . . . . Vergleich und Konsequenzen 16 4.1 Wählerakzeptanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.2 Voter Veriable Paper Audit Trails . . . . . . . . . . . . . . . . . . . . . . 18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 4.3 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 3.2 4 2 Das Wahlstiftsystem 2.1 3 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit 4.3.1 Sicherheitszertizierung 4.3.2 Physische Manipulierbarkeit des Wahlsystems . . . . . . . . . . . . 20 4.3.3 Elektronische Manipulierbarkeit . . . . . . . . . . . . . . . . . . . . 21 4.4 Bedienung 4.5 Kosten 4.6 . . . . . . . . . . . . . . . . . . . . . . . . 19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Barrierefreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 rechtliche Aspekte 24 5.1 Das Öentlichkeitsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 5.2 Die Wahlgeräteverordnung 5.3 . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Bauartzulassung und Sicherheitszertizierung . . . . . . . . . . . . . . . . . 25 5.4 Diskrepanzen zwischen elektronischem und Papier-Ergebnis 26 Zusammenfassung und Fazit Wahlmaschinen bei der Bundestagswahl 2009 . . . . . . . . . 26 1 1 Executive Summary 1.1 Kurzbeschreibung Elektronische Wahlsysteme halten weltweit Einzug in die Wahlverfahren der westlich industrialisierten Staaten. Dominant sind dabei bisher sog. DRE-Wahlmaschinen (Direct Recording Electronic), die die Stimmen des Wählers entgegennehmen, auszählen und ausschlieÿlich in einem elektronischen Speicher vorhalten. Dies hat viele Kontroversen bzgl. der Einhaltung geltender demokratischer Standards zur Folge. Das digitale Wahlstiftsystem geht einen anderen Weg. Anstatt die Stimmen ausschlieÿlich elektronisch entgegen zu nehmen, wird mit einem sog. Digitalstift ein herkömmlicher Papier-Stimmzettel ausgefüllt. Durch die Benutzung des Digitalstifts wird eine elektronische Stimmabgabe realisiert und gleichzeitig liegen physische Stimmzettel vor, die im Zweifelsfall als Referenz dienen können. 1.2 Empfehlungen Die Analyse des Sachverhalts veranlasst uns folgende Empfehlungen zur möglichen Verwendung von Wahlmaschinen zur Bundestagswahl 2009 abzugeben: • Elektronische Wahlgerät bringen neue Risiken mit sich. Moderne Computersysteme, wie sie DRE-Geräte darstellen, haben andere Sicherheitsrisiken als mechanische oder elektromechanische Wahlgeräte. Deshalb empfehlen wir, die Bundeswahlgerätever- zusätzliche Anforderungen an Wahlgeräte zu erweitern. Insbesondere ist Sicherheitszertizierung durch das Bundesamt für Sicherheit in der Informationstechnik notwendig. ordnung um eine • Das Fehlen von physisch vorhandenen Stimmzetteln bei DRE-Maschinen führt zu nachträglich nicht überprüfbaren Wahlergebnissen. Wahlmaschinen sollten zusätzlich papierbasierte Stimmzettel ausgeben oder unterstützen, um eine nachträgliche Auszählbarkeit der Stimmen zu garantieren. • Die DRE-Wahlgeräte der Marken Diebold und Nedap sind, wie von internationalen Expertenteams gezeigt wurde, mit zahlreichen Sicherheitsmängeln belastet. Wir raten deshalb von einer Verwendung dieser Geräte ab. • Das Wahlstiftsystem kombiniert die Vorteile der elektronischen und der Papierwahl. Der Wähler muss sich bei der Benutzung nicht umstellen und die Ergebnisse sind jederzeit nachprüfbar. Wir empfehlen deshalb den Einsatz des Wahlstiftsystems bei zukünftigen Bundestagswahlen. 2 Wahlmaschinen bei der Bundestagswahl 2009 2 Das Wahlstiftsystem Die Idee hinter dem digitalen Wahlstiftsystems ist einfach und eektiv. Das Wahlstiftsystem verzichtet auf die Einführung von neuen, groÿen Geräten und lässt den Wähler wie bisher Papierstimmzettel ausfüllen. Durch die Verwendung eines speziellen Digitalstifts liegen die Stimmzettel anschlieÿend nicht nur analog auf Papier, sondern auch digital in einer elektronischen Wahlurne vor. Die gesamte Technik dafür setzt sich zusammen aus dem zigarrengroÿen Stift der die Position auf dem Wahlzettel durch eine spezielle Rasterung auf dem Papier erkennt und der Wahlsoftware auf einem PC, der elektronischen Wahlurne, welche die rechnergesteuerte Auszählung ermöglicht. 2.1 Technische Funktionsweise Das Wahlstiftsystem wurde erstmals am 25. November 2004 durch die Allpen Gesellschaft für Systementwicklung mbH vorgestellt. Das System wird in Zusammenarbeit mit der Nokia GmbH und der Lufthansa Systems AG entwickelt. In dieser Partnerschaft stellt Nokia den Digitalstift SU-1B mit den dazugehörigen Dockingstations, Lufthansa Systems AG die Treiber- und Wahlsoftware. Die Allpen GmbH übernimmt die Konguration der Stationen und der Firmware der Digitalstifte. Die folgenden Abschnitte beschreiben die Funktionsweise und technischen Details des hier vorgestellten Wahlstiftsystems. 2.1.1 Das Digitalstift-Verfahren Zentraler Bestandteil des Wahlstiftsystems ist der Digitalstift. Der Digitalstift hat annähernd die Form eines herkömmlichen Kugelschreibers, enthält allerdings einige technische Komponenten. Diese werden im Folgenden beschrieben (siehe dazu Abbildung 1). [1] Anoto-Raster Das Papier auf dem geschrieben wird, weist ein besonderes Punkte-Raster auf das sog. Anoto-Raster. Dieses Raster wurde von der schwedischen Firma Anoto entwickelt und wird mit kohlenstohaltiger Tinte auf die Stimmzettel gedruckt. Die winzigen Punkte mit einem Durchmesser von 0,15mm sind nur schwach als hellgraue Hintergrundfärbung wahrnehmbar. Jeweils 6x6 dieser Punkte ergeben eine eindeutige Koordinate und ermöglichen es, die genaue Position des Stiftes auf dem Papier zu bestimmen (siehe Portal Systems). Das Layout des Wahlzettels wird mit nicht-kohlenstohaltiger Tinte über das Raster gedruckt. Die Infrarot-Kamera im Digitalstift kann so das kohlenstohaltige Raster darunter immer noch störungsfrei erkennen. Wahlmaschinen bei der Bundestagswahl 2009 3 Abbildung 1: Technische Details des Verfahrens [2] Kamera und Kugelschreibermine Der von Nokia entwickelte Digitalstift ist mit einer handelsüblichen Mine für Kugelschreiber ausgestattet. Diese kann bei Bedarf leicht ausgewechselt werden. Direkt neben der Mine bendet sich eine Kamera, mit der das Geschriebene gescannt wird. Wenn Druck auf die Mine ausgeübt wird sendet das elektronische Auge Infrarotstrahlen aus. Die Strahlen werden vom Anoto-Muster reektiert. Die Kamera nimmt die Reexion auf und kann damit die genaue Position des Stiftes auf dem Papier berechnen. Mit einer Abtastrate von 70 Bildern pro Sekunde kann Handschrift detailgetreu wiedergegeben werden. [3] Drucksensor Mit einem Sensor neben der Mine kann der Druck festgestellt werden, der beim Schreiben ausgeübt wird. Später können am Bildschirm durch die Eigenschaften der Druckausübung dünne und kräftigere Linien nachgebildet werden. [4] Speicher und Prozessor Im Speicher werden die Informationen Druck und Position zu bestimmten Zeitpunkten abgelegt. Der Nokia SU-1B kann ca. 100 beschriebene DIN-A5 Seiten abspeichern. Der Prozessor kontrolliert die Kommunikation mit der Dockingstation und wird mit einer speziell für den Wahlstift angepassten Firmware betrieben. 4 Wahlmaschinen bei der Bundestagswahl 2009 [5] Übertragungseinheit Im oberen Teil des Stiftes ist ein Sender für die Datenübertragung per Funk integriert. Der ursprünglich für den Handy-Nutzer konzipierte Stift SU-1B von Nokia wurde damit ausgestattet, um auf dem Stift bendliche Daten via Bluetooth an das Mobiltelefon zu übertragen, damit diese sofort weiter versendet werden können. Bei der Konzeption des Wahlstiftsystems wurde die Funkübertragung der Daten jedoch ausgeschlossen, da sie ein zu hohes Sicherheitsrisiko birgt. Deshalb wurde die als Wahlstift deaktiviert. Funkübertragungseinheit für den Einsatz Die Übertragung erfolgt an einer Entladestation über eine USB 2.0 Schnittstelle. Exkurs: USB Das universelle Leitungssystem USB (Universal Serial Bus) ist ein serielles Bussystem. Mit USB ausgestattete Geräte können im laufenden Betrieb miteinander verbunden werden (Hot-Plugging). Die USB-Schnittstelle mit achen, quadratischen oder kompakteren Steckvarianten, bei geringerem Platzangebot, übernimmt für Geräte mit geringem Verbrauch die Stromversorgung. USB ist zu einer Standardschnittstelle geworden mit der jeder handelsübliche Rechner ausgestattet ist. [6] Batterie Der Stift wird mit einem Akku betrieben, der bei vollem Einsatz bis zu 2 Stunden hält. Eine rote LED signalisiert den leeren Ladezustand. Der Akku muss nicht ausgetauscht werden, sondern kann an einer zum Stift gehörenden Dockingstation aufgeladen werden. Die Dockingstation selbst wird über den USB Anschluss mit Strom versorgt. 2.1.2 Der Digitalstift Der Wahlstift ist ein modizierter Digitalstift vom Typ Nokia SU-1B. Für den Einsatz im Wahlstiftsystem wird das Serienmodell mit einer neuen, angepassten Firmware ausgestattet. Wahlmaschinen bei der Bundestagswahl 2009 5 Abbildung 2: Digitalstift SU-1B von Nokia mit Dockingstation Bezeichnung Nokia SU-1B Standby-Zeit 10 Stunden Schreibzeit > 2 Stunden Auadezeit ca. 2.5 Stunden Batterie wiederauadbarer Lithium-Ionen-Akku Betriebstemperatur 0 Gewicht 35 Gramm Speicher 1MB (100 Seiten DIN A5) Abmessungen 153 x 19 x 17mm (ohne Verschlusskappe) ◦ - 40 ◦ 157 x 21 x 18mm (mit Verschlusskappe) wasserdicht Nein Garantie 3 Jahre bei sachgemäÿer Benutzung Datenblatt Nokia SU-1B Angaben beruhend auf Benutzerhandbuch für den Nokia Digitalstift (SU-1B) (siehe Nokia Group, 2003). 6 Wahlmaschinen bei der Bundestagswahl 2009 2.1.3 Die Wahlsoftware Die Software für das Wahlsystem hat die Aufgabe unter Wahrung des Wahlgeheimnisses und der Anonymität des Wählers die Daten aus dem Stift zu lesen und diese aufzubereiten. Die gesetzten Kreuze müssen erkannt und Stimmzettel gegebenenfalls für ungültig erklärt werden. Im Folgenden werden die einzelnen Funktionskomponenten der Wahlsoftware erläutert. Datenübertragung Die Daten werden mit einer Treibersoftware von der Dockingstation auf den Rechner übertragen, auf welchem die Wahlsoftware installiert ist. Dort werden sie unbearbeitet als rohe Daten abgespeichert. Die Aufbereitung ndet erst nach der Wahl statt, wenn der Wahlvorstand die Auswertung am Rechner vornimmt. Die getrennte Übertragung und Auswertung der Stimmzettel wurde gewählt um Datenverluste durch mögliche Fehler in der Auswertung zu verhindern. Ein Abbruch des Übertragungsund Speichervorgangs durch einen Fehler bei der Bedienung oder im Auswertungsprogramm wird somit ausgeschlossen. Der Vorgang der Datenübertragung auf den Wahlcomputer entspricht der Abgabe der Stimme in eine elektronische Wahlurne. Bei diesem Vorgang werden die Stimmen ungeordnet auf vorhandenen Speicherplätzen abgelegt. Eine spätere Zuordnung der Stimmen zu einzelnen Wählern ist nicht möglich. Dadurch wird das Wahlgeheimnis geschützt. Kreuzerkennung In der Wahlsoftware sind die Kriterien für die Kreuzerkennung verankert. Vereinfacht kann man sagen, dass ein Kreuz als zwei sich überschneidende Geraden mit einem bestimmten maximalen und minimalen Schnittwinkel deniert ist. Im Vorfeld der ersten Testwahl in ◦ ◦ Hamburg wurde ein Schnittwinkelbereich von 20 -60 deniert. Die Auswertung hat ergeben, dass ein gröÿerer Schnittwinkelbereich sinnvoll ist und so wurde bei der zweiten Studie in ◦ ◦ Mainz ein Schnittwinkelbereich von 15 -75 verwendet, wodurch sich die Anzahl der als noch zu prüfende Stimmen signikant reduziert hat. Die Teststudie in Mainz (siehe Stadt Mainz, 2006, Kap. 5.5.1) ergab trotzdem, dass es nötig ist, diese Kriterien zu verfeinern um Arbeit für den Wahlvorstand in der Auswertung zu ersparen. Wahlmaschinen bei der Bundestagswahl 2009 7 Exkurs: Kreuzerkennung Die genaue Denition eines Kreuzes ist in der Wahlsoftware wie folgt formuliert: • zwei geschlossene Linienzüge innerhalb der denierten Bereiche der Rasterung (Markierung) • die Länge der Linienzüge umfasst mindesten 50% bzw. höchstens 150% des Kreisradius • die Linienzüge müssen durch zwei Geraden interpoliert werden können (mit kleinem Varianzwert (Summe der Abstandsquadrate der Messpunkte zu Gerade)) • Schnittwinkel der Geraden liegt zwischen 15 und 75 Grad • keine zusätzlichen Linienzüge innerhalb oder auÿerhalb der Markierung • erfasst wurden zusätzlich auch Kreuze aus einem Strich, wo beim Schreiben der Stift zwischen den beiden Linienzügen nicht angehoben wird (Sanduhren-Kreuze). (siehe Stadt Mainz, 2006, Abschnitt 5.5.1) Auswertung Mit der Auswertung durch die Wahlsoftware werden die Stimmen in ungeordneter und nicht nachvollziehbarer Reihenfolge in drei verschiedene Kategorien eingeordnet: • gültige Seiten • ungültige Seiten • zu überprüfende Seiten Die gültigen und ungültigen Seiten wurden vom Programm als solche nach festen Regeln direkt erkannt. Hierbei ist anzumerken, dass das Programm generell zwischen der Ungültigkeit einer Erststimme und der einer Zweitstimme unterscheidet, denn ein Wähler könnte auf Seiten der Erststimme zwei Kreuze gesetzt haben, wodurch der Direktkandidat nicht eindeutig bestimmt ist und die Erststimme verfallen lässt. Die Zweitstimme kann aber durchaus gültig abgegeben sein. Die Stimmzettel liegen in diesen Ordnern als TIFF- und XML-Dateien vor. Die gültigen und ungültigen Seiten werden von der Software markiert. Gültige Felder werden grün umrandet, ungültige Felder gelb. Die vom Wahlvorstand nachträglich für gültig erklärten Stimmzettel aus dem Ordner zu prüfende Seiten werden hellgrün umrandet. Wenn die zu prüfenden Seiten vom Wahlvorstand abgearbeitet wurden, können die Daten im XML-Format weitergegeben werden um das Gesamtergebnis der Bundesrepublik berechnen 8 Wahlmaschinen bei der Bundestagswahl 2009 zu lassen. Das Ergebnis des Wahllokals wird für den Wahlvorstand in einer übersichtlichen Statistik auf dem Bildschirm sichtbar gemacht. Exkurs: TIF TIFF- oder auch TIF-Dateien (Tagged Image File Format, Dateiendung .tif ) ist ein standardisiertes Dateiformat zur Speicherung von Bilddaten. Die Bilder werden verlustfrei komprimiert und sind daher von hochaufgelöster und druckfähiger Qualität. Exkurs: XML XML (eXtended Markup Language, Dateiendung .xml) ist ein geeignetes Format für den Austausch von Daten mit anschlieÿender automatisierter Datenverarbeitung. Ähnlich eines Datenbanksystems, aber auf reiner Text-Basis, werden Informationen in einer XML-Datei als Entitäten aufgefasst und in atomaren Einheiten abgespeichert. Die Struktur der Daten wird in einer DTD (Document Type Denition) deniert. XML hat sich zu einem Standard für austauschbare Datenformate entwickelt und liegt beim World Wide Web Consortium als oene Spezikation vor. Abgrenzung Für die Überbringung der Wahlergebnisse an die kommunale Datenzentrale bzw. die Datenzentrale auf Bundesebene wären neben den bereits verwendeten Kommunikationswegen auch das Internet oder Wide Area Network der Verwaltungsbehörden, die Überbringung mit USB-Stick oder anderen Datenträgern denkbar. Eine solche Komponente ist noch nicht Teil des Systems. Eine Sicherheits- und Machbarkeitsanalyse ist auch nicht Bestandteil dieses Gutachtens, kann aber nach Auftragserteilung erfolgen. Ein weiterer oener Punkt, der bei einer zentralen Datenerfassungssoftware zu betrachten ist, ist eine Software die auf Bundesebene die Plausibilität der Daten prüft. Sicherzustellen ist zum Beispiel, dass in einem bestimmten Wahlkreis nicht mehr Stimmen abgegeben wurden als Wähler registriert sind. Solche und ähnliche Prüfungen können die Korrektheit einer Wahl zusätzlich unterstützen. 2.1.4 Drei-Dockingstations-Verfahren Bei den Testwahlen in Mainz (siehe Stadt Mainz, 2006) und Hamburg (siehe Landeswahlleiter Freie Hansestadt Hamburg, 2005) wurde bisher nur eine Dockingstation für die Datenübertragung verwendet. In nächsten Entwicklungsstufen des Systems, die in Hinblick auf die Bundestagswahl 2009 entwickelt werden, wird das Drei-Dockingstations-Verfahren umgesetzt um den Wahlablauf transparenter zu machen und Fehlverhalten der Wähler und des Wahlvorstands zu minimieren. In diesem Verfahren werden die einzelnen Bedienungsschritte, die beim digitalen Wahlstiftsystem nötig sind, auf drei getrennte Dockingstations verteilt. Diese Dockingstations übernehmen folgende Aufgaben: Wahlmaschinen bei der Bundestagswahl 2009 9 Dockingstation 1 - AKTIVIERUNG: Diese Station bendet sich auf dem Tisch der Wahlzettelausgabe. Meist bendet sich dieser am Eingang des Wahllokals. Hier wird die Funktionsfähigkeit des Stiftes überprüft, der Stift wird initialisiert und freigeschaltet. In diesem Zustand bekommt der eintretende Wähler den Stift und Papierstimmzettel erstmalig ausgehändigt. Dockingstation 2 - DEAKTIVIERUNG: Die zweite Station bendet sich an der Urne für die Papierstimmzettel, denn hier werden die Daten an die elektronische Wahlurne übertragen. Diese Station ist über USB 2.0 mit dem Wahl-PC verbunden. Eine spezielle Treibersoftware speist die Daten aus dem Stift in das auf dem Rechner bendliche Wahlprogramm ein. Nach erfolgreicher Übertragung werden die Daten gelöscht und der Stift gesperrt. Die Übertragung kann auf einem Bildschirm als Geschwindigkeit-Zeit-Balken visualisiert oder mit reinen akustischen und optischen Signalen wahrnehmbar gemacht werden. Bei den durchgeführten Testwahlen war ein Bildschirm am Wahlcomputer angeschlossen. Dieser wirkte jedoch irritierend auf die Wähler und es wurde nachgefragt, ob die abgegebene Stimme eingesehen werden könne. Deswegen sollte bei Einsatz eines Bildschirms, dieser immer zu den Wählern gerichtet sein. Dockingstation 3 - ANNULIERUNG: Will der Wähler seine Stimme revidieren, wird der Stift an dieser Dockingstation zurückgesetzt und gesperrt. Gleichzeitig muss der Papierstimmzettel vernichtet werden. An der Station 1 kommt es wieder zur Aktivierung und zur erneuten Aushändigung. Die Stationen sind physisch voneinander getrennt und an anderen Orten im Wahllokal aufgestellt. Dort lassen sie sich ohne Schwierigkeiten in den bekannten Wahlablauf eingliedern. Im Commons Criteria Schutzprol zum digitalen Wahlstiftsystem schreiben Volkamer u. Vogt: Das Modell Drei Dockingstationen` erfüllt folgendes Prinzip: Die Stimmen eines Wählers sind nur während seines` Wahlvorgangs auf dem Stift gespei- chert, d.h. nur solange dieser Wähler die Kontrolle über den Stift hat. Sonst ist der Stift leer und die Stimmaufzeichnung ist gesperrt. (siehe Volkamer u. Vogt, 2006, Kap. 2.1.1) Das Drei-Dockingstations-Verfahren erhöht die Transparenz des Wahlvorgangs für Wähler und Wahlvorstand. 10 Wahlmaschinen bei der Bundestagswahl 2009 2.2 Ablauf einer Wahl mit dem Digitalen Wahlstift Der Ablauf einer Wahl mit dem digitalen Wahlstift wurde bereits in zwei Testwahlen erprobt. In der Hansestadt Hamburg wurde parallel zur Bundestagswahl 2005 eine Pilotstudie durchgeführt (siehe dazu Landeswahlleiter Freie Hansestadt Hamburg, 2005). Bei dieser Pilotstudie nahmen in zwei Wahllokalen insgesamt 677 Testwähler teil. Eine ähnliche Studie wurde zur Landtagswahl 2006 in Mainz durchgeführt. Hier beteiligten sich in einem Testwahllokal 521 Personen (siehe dazu Stadt Mainz, 2006). Aus diesen Studien konnten wertvolle Erfahrungen gesammelt werden, die in die Entwicklung des Wahlstiftsystems eingeossen sind. Im Folgenden soll der Ablauf einer Wahl, wie sie im realen Fall durchgeführt würde, geschildert werden. 2.2.1 Vor der Wahl Trotz der hohen Bedienerfreundlichkeit des digitalen Wahlstiftsystems müssen die Bürger im Vorfeld der Wahl informiert werden, dass eine digitale unterstützte Wahl stattndet. Dies kann durch Berichterstattung in Presse, Rundfunk und Fernsehen erfolgen, sowie einem Infoblatt, das neben der Wahlberechtigungskarte per Post zugesendet wird. Zusätzlich sollte direkt in den Wahllokalen eine Ablaufskizze angebracht werden. Die Ergebnisse aus den Studien in Hamburg und Mainz haben gezeigt, dass dadurch eine hohe Wählerakzeptanz erreicht wird. Um den Wählern bei Fragen zu der neuen Technik zur Seite zu stehen, muss der Wahlvorstand geschult werden. Das Kennenlernen des Wahlablaufs, das Prüfen des Wahlstiftes auf Funktionsfähigkeit und die Bedienung der Wahlsoftware kann parallel zu den Einführungsveranstaltungen der Wahlhelfer geschehen. 2.2.2 Während der Wahl Wie bei einer gewöhnlichen Wahl muss zuerst die Wahlberechtigung festgestellt werden. Die Wahllokale önen um 8 Uhr. Beisitzer des Wahlvorstandes kontrollieren die Wahlbenachrichtigungskarte und den Personalausweis, woraufhin die Person vom Schriftführer im Wählerverzeichnis vermerkt werden kann. Erst dann erhält der Wähler den Wahlstift. Der Wahlvorgang: 1. Der Wähler erhält einen Stimmzettel und den digitalen Wahlstift am Tisch des Wahlvorstandes. 2. Der Stimmzettel wird vom Wähler in einer Wahlkabine ausgefüllt. 3. Der Wähler steckt den Wahlstift in die Dockingstation und wirft seinen gefalteten Stimmzettel in die nebenstehende Wahlurne ein. Wahlmaschinen bei der Bundestagswahl 2009 11 4. Von der Station aus werden die Daten an die elektronische Wahlurne übertragen. Nach erfolgreicher Übertragung wird der Stift entleert und gesperrt. In diesem Zustand steht er für den nächsten Wahldurchgang bereit. 5. Der Wahlvorgang ist abgeschlossen, der Wähler verlässt das Wahllokal. Sonderfälle Wie bei einer herkömmlichen Wahl, kann es immer zu Störungen des Wahlablaufs kommen. Im Folgenden sollen Sonderfälle betrachtet werden, die beim Einsatz des digitalen Wahlstiftsystems auftreten können. Der Akku des Wahlstifts ist leer Unter den gegebenen Umständen einer Wahl, sollte ein erneutes Laden der Wahlstifte nicht notwendig werden. Ist, wider erwarten, ein Wahlstift leer, wird dies vom Wahlvorstand bei der Ausgabe oder Entgegennahme des Stiftes bemerkt. Im Wahllokal muss eine ausreichende Anzahl zusätzlicher Ersatzwahlstifte vorliegen, die zum Austausch dienen. Hat der Wähler bereits einen Stimmzettel ausgefüllt und kann seine elektronische Stimme nicht mehr entgegengenommen werden, so muss die Stimmabgabe wiederholt werden. Der Tintenvorrat des Wahlstiftes ist leer Aus dem vorgestellten Stift-System, das unter anderem auf Druckerfassung beruht, ist abzuleiten, dass ein Stift mit defekter Mine zwar keine Spuren auf dem eigentlichen Wahlzettel hinterlässt aber auf dem digitalen Abbild, denn der Drucksensor hat einen normalen Schreibvorgang festgestellt. Es ist davon auszugehen, dass der Defekt einem Wahlleiter gemeldet wird. Dieser kann umgehend die Mine austauschen, händigt dem Wähler einen neuen Zettel aus und resetet den Stift, um zu vermeiden, dass mit dem unsichtbaren digitalen Abbild eine Stimmabgabe verfälscht wird. Der Stift wurde in der Wahlkabine nicht benutzt und ist bei der Abgabe leer Um das Wahlgeheimnis zu wahren, muss sich die Software bei der Abgabe der elektronischen Stimme immer exakt gleich verhalten. Dies impliziert, dass ein leerer Wahlstift genau so lang zum entladen braucht wie ein korrekt benutzter Wahlstift. In der elektronischen Wahlurne wird ein leerer Stimmzettel abgelegt. Andere technische Störungen Bei Störungen, die nicht durch die vorgeschriebenen und implementierten Sicherheitsmaÿnahmen ausgeglichen werden können, kann immer auf die Mittel einer üblichen Papierwahl zurückgegrien werden. Die Stimmzettel können ungeändert weiter genutzt werden. Zur allgemeinen Erhöhung der Ausfallsicherheit, muss in jedem Wahllokal eine ausreichende Zahl an Ersatzstiften vorliegen. Diese können gegebenenfalls als Austauschgeräte dienen. 12 Wahlmaschinen bei der Bundestagswahl 2009 Unterschiede zum herkömmlichen Wahlverfahren Der Wahlstift unterscheidet sich bis auf seine technischen Komponenten nicht vom handelsüblichen Kugelschreiber. Aus der Sicht des Wahlvorstandes ergibt sich bei Schritt 4 ein Unterschied in den Arbeitsabläufen. Der Wahlvorstand beobachtet nunmehr nicht nur das Einwerfen des Zettels in die Urne, damit der Wähler im Wählerverzeichnis als Teilnehmer registriert werden kann, sondern überwacht zudem die Übermittlung der Daten an den Rechner. Für den Wähler unterscheidet sich der Wahlvorgang mit dem digitalen Wahlstift von der traditionellen Papierwahl mit Kugelschreiber nur wenig. 2.2.3 Nach der Wahl Nach Beendigung der eigentlichen Wahl in einem Wahllokal um 18 Uhr, hat der Wahlvorstand die Aufgabe das Ergebnis zusammenzustellen. Um die Wahlsoftware bedienen zu können, ist ein Monitor am Wahlrechner notwendig. Am Bildschirm sieht der Wahlvorstand die digitalisierten Stimmzettel eingeteilt in die Ordner: • gültige Seiten • ungültige Seiten • zu überprüfende Seiten Der Wahlvorstand muss nun die zu prüfenden Seiten betrachten und entscheiden, ob die Stimmen gültig oder ungültig sind. Dies entspricht dem Verfahren zur Entscheidung bei strittigen Wahlzetteln in rein papierbasierten Auszählungen. Ist die Aufgabe erledigt, kann auf Knopfdruck die Auswertung für das Lokal aufgerufen werden und am Bildschirm erscheint die Statistik zu den führenden Parteien und Direktkandidaten. Es ist zu erwarten, dass die Prüfung der Seiten binnen einer Stunde abgeschlossen ist, so dass für alle Wahllokale ein sicheres Ergebnis um 19 Uhr vorliegt. Dann können die Daten versendet werden, um das Gesamtergebnis der Bundestagswahl an anderer Stelle berechnen zu lassen. 3 DRE-Systeme mit und ohne VVPAT Um einen Vergleich des Wahlstiftsystems mit den üblichen DRE-Systemen zu ermöglichen und zu erleichtern soll in diesem Abschnitt die Funktionsweise dieser Maschinen allgemein beschrieben werden. Zuerst werden die technischen Details erklärt, dann ein Wahlablauf geschildert. Natürlich ist es nicht möglich jeden einzelnen Typ dieser Maschinen zu beschreiben. Daher handelt es sich um eine Verallgemeinerung und Zusammenfassung der wichtigsten Merkmale. Wahlmaschinen bei der Bundestagswahl 2009 13 3.1 Technische Funktionsweise DRE-Wahlmaschinen werden von verschiedenen Herstellern entwickelt und produziert. Die Modelle sind sich im Funktionsprinzip ähnlich und haben einen vergleichbaren Aufbau. Im Nachfolgenden soll dieser allgemeine Aufbau erläutert werden. 3.1.1 Allgemeiner Aufbau Meist handelt es sich um etwa aktentaschengroÿe Geräte, die zum Gebrauch geönet und auseinander geklappt werden. Im aufgeklappten Zustand wird der für den Wähler wichtigste Teil sichtbar. Es ist entweder ein Touchscreen oder eine Anzahl von Tasten über die der Wähler seine Stimme eingeben muss. Im Folgenden wird immer von Tasten gesprochen. Es existiert ebenfalls immer eine Möglichkeit eine ungültige Stimme abzugeben. Handelt es sich bei der Eingabeeinheit um ein Tastenfeld existiert zusätzlich ein Display an dem die vom Wähler getätigte Eingabe angezeigt werden kann. Zusätzlich zu den vom Wähler zu bedienenden Eingabemöglichkeiten gibt es Tasten, oder etwas Entsprechendes, mit dem die Auswertung der Wahl vom Wahlvorstand am Gerät vorgenommen werden kann. Des Weiteren gibt es eine geeignete Vorrichtung mit welcher der Wahlvorstand den Zustand der Maschinen steuern kann. Bei den Geräten der Firma Nedap ist dies ein zusätzliches Steuergerät, welches über ein Kabel mit dem Wahlgerät verbunden wird. Bei den Diebold AccuVote-TS Wahlgeräten wird der Zustand der Maschine mit Hilfe einer besonderen Zugangs-SmartCard direkt über den Touchscreen gesteuert. Es können die Zustände Wahl und Auswertung, sowie während der Wahl gesperrt und entsperrt unterschieden werden. Für die Auswertung der Wahl existiert auch noch an jedem Gerät ein Drucker für die Ausgabe des Ergebnisses. Die Funktion der Geräte wird über die auf einem Speicher bendliche Software gesteuert. Auf einem weiteren Speichermodul werden die für jede Wahl neuen Stimmzettel und damit die Zuordnung der Tasten zu den Kandidaten und Listen, in die Maschine eingespeist. Auf diesem werden auch die Stimmen redundant und zufällig abgespeichert. 3.1.2 Unterschiede bei DRE-Geräten mit VVPAT Geräte, die auch einen Voter Verifable Paper Audit Trail (VVPAT) (siehe dazu auch Abschnitt 4.2) umsetzen, haben zusätzlich zu den im vorherigen Abschnitt beschriebenen Teilen, noch diese weiteren: 14 Wahlmaschinen bei der Bundestagswahl 2009 • Einen Drucker für die Ausgabe der vom Wähler getätigten Eingabe • Ein Fenster, hinter dem der Papierausdruck dem Wähler präsentiert wird • Eine verschlossene Wahlurne, in der die Ausdrucke gesammelt werden 3.2 Wahlablauf Auch der Ablauf der Wahlvorbereitung, des Wahlganges selbst und der Auswertung der Wahl sind sich bei allen Modellen ähnlich. Nur die Maschinen mit einem Paper Trail haben einen etwas abweichenden Ablauf. Die folgenden Abschnitte beschreiben, wie eine Wahl mit DRE-Maschinen abläuft. 3.2.1 Vorbereitung der Wahl Der Wahlvorstand erhält alle für sein Wahllokal nötigen Geräte, sowie deren Anleitungen. Nach der Anleitung werden die für den jeweiligen Typ vorgesehenen Schritte zur Überprüfung der Funktionstüchtigkeit und der Sicherheit vorgenommen. So werden etwa die Gerätenummern und die Baugleichheitserklärung untersucht, das Speichermodul daraufhin geprüft, dass es keine Stimmen enthält und der Drucker getestet. Handelt es sich um eine Maschine mit VVPAT wird natürlich auch der Drucker für die vom Wähler zu prüfenden Papierabschnitte getestet. Dann werden die Maschinen über die Steuergeräte in den Zustand Wahl gestellt und das Wahllokal geönet. 3.2.2 Ablauf für den Wähler Wie auch bei der Papierwahl üblich wird zuerst die Wahlberechtigung des Wählers geprüft. Dann erhält er allerdings nicht wie üblich einen Stimmzettel, sondern vom Wahlhelfer eine Freigabe für die Wahlmaschine. Der Wähler tritt daraufhin an die Wahlmaschine heran und gibt über die Tasten seine Wahl ein. Zur Kontrolle wird die von ihm getroene Wahl mit Hilfe eines Displays oder dem Touchscreen noch einmal angezeigt. Er kann sie dann bestätigen oder zurücksetzen um seine Entscheidung zu ändern. Natürlich gibt es auch eine Taste, über die das Abgeben einer ungültigen Stimme möglich ist. Nachdem der Wähler seine Stimmabgabe bestätigt hat, wird seine Stimme in einem Speichermodul abgelegt. Bei einer DRE-Maschine mit VVPAT steht vor dem endgültigen Bestätigen noch ein weiterer Schritt. Auf einem Zettel, der dem Wähler hinter einer Glasscheibe präsentiert wird, ist die vom Wähler getroene Entscheidung aufgedruckt. Der Wähler soll diesen Zettel überprüfen und daran das richtige Aufnehmen seiner Stimme erkennen. Er hat die Möglichkeit den Zettel zu entwerten und seine Eingabe zu wiederholen. Bestätigt der Wähler den Zettel, so landet dieser in der geschlossenen Urne. Wahlmaschinen bei der Bundestagswahl 2009 15 Nach der Stimmabgabe vermerkt der Wahlhelfer im Wählerverzeichnis, das diese stattgefunden hat und sperrt das Wahlgerät wieder, bis der nächste Wähler kommt um seine Stimme abzugeben. 3.2.3 Auswertung der Wahl Nach dem Schlieÿen der Wahllokale werden die Wahlmaschinen über ihre Steuergeräte in den Zustand Auswertung gestellt. Über die Funktionstasten lässt der Wahlvorstand dann an jeder Maschine das jeweilige Ergebnis, mithilfe der integrierten Drucker, ausdrucken. Diese Ergebnisse werden mit der Anzahl der abgegebenen Stimmen verglichen und in die Wahlniederschrift aufgenommen. Sollte es Schwierigkeiten mit einem Drucker geben, gibt es eine Möglichkeit das Ergebnis auf dem Display oder Touchscreen anzuzeigen, oder das Speichermodul in eine Maschine mit funktionsfähigem Drucker zu stecken und dort das Ergebnis auszudrucken. Zuletzt werden die Speichermodule entnommen und versiegelt. Bei einer Maschine mit VVPAT wird auÿerdem noch die Urne versiegelt und zusammen mit den Speichermodulen an die für die Aufbewahrung zuständige Stelle geliefert und dort für eine mögliche spätere Überprüfung aufbewahrt. 4 Vergleich und Konsequenzen In diesem Kapitel sollen das Wahlstiftsystem und DRE-Wahlgeräte mit und ohne VVPAT gegenüber gestellt werden. Aufgrund der elektronischen Natur von Wahlsystemen sind viele Aspekte gleich oder identisch. Wir wollen hier vorrangig auf die sich unterscheidenden Merkmale eingehen. Zentrales Ziel eines Wahlvorganges ist es, ein korrektes Wahlergebnis zu erzielen. Das Wahlverfahren muss dabei den Prinzipien einer freien, allgemeinen, gleichen und geheimen Wahl genügen. Des Weiteren muss das Wahlverfahren robust gegenüber Beeinussungsversuchen sein um auch unter schwierigen politischen Bedingungen ein korrektes Wahlergebnis zu garantieren. 4.1 Wählerakzeptanz Wichtigstes und komplexestes Vergleichskriterium für Wahlsysteme ist die Wählerakzeptanz. Eine geringe Akzeptanz eines Wahlsystems könnte zu einem Vertrauensverlust der Wähler in die demokratischen Grundlagen ihres Staates und zu einem Rückgang der Wahlbeteiligung führen. Die Wählerakzeptanz selbst wird natürlich von allen nachfolgenden Faktoren beeinusst und stellt selbst eine statistisch ermittelbare Gröÿe dar. 16 Wahlmaschinen bei der Bundestagswahl 2009 Die Pilotstudien in Hamburg und Mainz haben gezeigt, dass das Wahlstiftsystem eine hohes Maÿ an Akzeptanz erzeugt. Bei der begleitend zum Wahlstift-Pilotprojekt in Hamburg durchgeführten Umfrage stellte sich heraus: • Mehr als 99 Prozent der Testwählerinnen und -wähler empnden die Handhabung des Digitalen Wahlstifts als einfach [. . . ] (Statistisches Amt für Hamburg und SchleswigHolstein, 2005, S.4) • Gut drei Viertel [78%] der Befragten fühlen sich ausreichend über den Digitalen Wahlstift informiert [. . . ] (Statistisches Amt für Hamburg und Schleswig-Holstein, 2005, S.6) • 61 % der Testwähler glauben, dass die Stimmen mit dem digitalen Stift zuverlässig erfasst und ausgezählt werden (vgl. Statistisches Amt für Hamburg und SchleswigHolstein, 2005, S.5 Tabelle 1). • 84 % der Befragten befürworten, dass das Wahlverfahren mit dem Digitalen Wahlstift bei der nächsten Bürgerschaftswahl in ganz Hamburg eingeführt wird (vgl. Statistisches Amt für Hamburg und Schleswig-Holstein, 2005, S.7). Die Umfrage zum gleichen System im Rahmen der Landtagswahl 2006 in Mainz ergab: 99% empfanden die Handhabung des digitalen Stiftes einfach 76% der Befragten fühlten sich ausreichend über das Verfahren mit dem digitalen Stift informiert 77% der Testwähler glauben, dass die Stimmen mit dem digitalen Stift zuverlässig erfasst und ausgezählt werden 71% der Befragten stehen einem möglichen Einsatz des digitalen Siftes in der Zukunft positiv gegenüber. (Stadt Mainz, 2006, S.11) Der Wahlstift erhält also durchgehend gute Noten. Eine Studie der University of Maryland mit Diebold AccuVote-TS Wahlmaschinen (siehe Herrnson u. Bederson, 2003) hat hingegen folgendes gezeigt: Seven percent of voters felt that the touch screen voting machine was not easy to use, compared to 93 percent who felt it was easy to use or held a neutral opinion. 7% der Wähler beurteilten die verwendete Diebold AccuVote-TS nicht als einfach zu bedienen. In Deutschland wurden bei der Wahl zum vierzehnten Landtag in Rheinland-Pfalz am 25.03.2001 in einigen Wahlkreisen bereits Wahlgeräte der Firma Nedap eingesetzt. Die Universität Koblenz-Landau führte eine Studie im Auftrag des rheinland-pfälzischen Ministerium des Innern und für Sport durch um die Akzeptanz der Maschinen durch die Wähler zu beurteilen. Den Nedap Geräten wurde eine durchgehend hohe Akzeptanz bescheinigt. Auf die Frage, ob die Bedienung der Geräte als einfach empfunden wurde, antworte jedoch 1,5% der Wähler negativ (siehe Prof. Dr. Sarcinelli u. Thomsen, 2001, S. 21 Tabelle 6). Wahlmaschinen bei der Bundestagswahl 2009 17 Fraglich bleibt, ob diese Akzeptanzwerte erhalten bleiben. Nach Bekanntwerden von Bedeutenden Sicherheitsmängeln ist die Fachpresse für das Thema sensibilisiert und es beginnt ein Aufklärungsprozess in der Bevölkerung. Die bekannte Fachzeitschrift c't aus dem Heise Verlag, hat seit 2002 in 14 Artikeln das Thema e-Voting und Nedap Wahlmaschinen kritisch beleuchtet (siehe u.a. Sietmann, 2006e,a,c,d,b). 4.2 Voter Verifiable Paper Audit Trails 2001 schlug R. Mercuri ein System vor, welches DRE-Wahlmaschinen um einen sogenannten Voter Veriable Paper Audit Trail (VVPAT) erweitert (vgl. Mercuri, 2001, 2002). Mercuri beschreibt ein System, welches neben der elektronischen Speicherung einen Referenzausdruck erzeugt. Dieser Ausdruck wird dem Wähler hinter einem Glasfenster präsentiert. Bestätigt der Wähler, dass der erzeugte Ausdruck seinem Wunsch entspricht, wird der Wahlvorgang abgeschlossen. Der dabei erzeugte Paper Audit Trail zur nachträglichen Verizierung des Wahlergebnisses, kommt manuell ausgefüllten Stimmzetteln sehr nahe, doch die Einführung eines zusätzlichen Schrittes beim Wahlvorgang und die technische Realisierung induzieren einige Probleme: • In der Praxis hat sich gezeigt, dass Wähler nur in durchschnittlich einem von drei Fällen die Übereinstimmung von abgegebener Stimme und Ausdruck überprüfen (vgl. Commission on Federal Election Reform, 2005, S.26). • Es besteht die Gefahr, dass der Wähler vergisst sein Ergebnis zu bestätigen. Der nächste Wähler könnte sowohl das Wahlgeheimnis brechen als auch die Stimme des Wählers entwerten (vgl. Evans u. Paul, 2004, S.30). • Stellt der Wähler eine Diskrepanz zwischen der von ihm geäuÿerten Wahlentscheidung und der ausgegebenen Bestätigung, so muss er einen Wahlhelfer aufsuchen um das Ergebnis zu annullieren. Dabei riskiert der Wähler die Wahrung seines Wahlgeheimnisses aufzugeben, was dazu führen könnte, dass Diskrepanzen nicht gemeldet werden (vgl. Evans u. Paul, 2004, S.29). • Durch einen Drucker erzeugte Ausdrucke sind leichter fälschbar als manuell ausgefüllte Wahlzettel. Andere vorgeschlagene Verfahren wie von Chaum und Ryan erweisen sich als äuÿerst kompliziert und kostenintensiv (siehe dazu Chaum, 2004; Chaum, Ryan, u. Schneider, 2004) Das Wahlstiftsystem ist von keinem dieser Nachteile betroen, da der Wahlvorgang vom Wähler keine zusätzlichen Schritte verlangt (siehe dazu auch Abschnitt 4.4). VVPAT stellt also keine völlig gleichwertige Lösung dar. 18 Wahlmaschinen bei der Bundestagswahl 2009 4.3 Sicherheit Elektronische Wahlmaschinen sind Computer oder Computersysteme. Zur Wahrung des Geheimhaltungsprinzips und zur Sicherstellung der Korrektheit der Wahl muss gewährleistet werden, dass die Wahlmaschinen nicht manipulierbar sind. Der Forschungsbereich der Computersicherheit hat grundlegende Erkenntnisse zu diesem Thema geliefert und Wahlmaschinen sollten auch unter diesen Sicherheitsaspekten betrachtet werden. Mögliche Manipulationen am Wahlsystem kann man grob in zwei Kategorien einteilen: physische und elektronische Manipulierbarkeit. Um die Sicherheit eines Computersystems nachzuweisen, bietet das Bundesamt für Sicherheit in der Informationstechnik Zertizierungsmechanismen an. 4.3.1 Sicherheitszertifizierung Es existieren eine Vielzahl von Bedrohungsszenarien gegen Wahlmaschinen. Das Deutsche Forschungszentrum für Künstliche Intelligenz, eine vom Bundesamt für Sicherheit in der Informationstechnik akkreditierte Zertizierungsstelle, hat 2006 im Auftrag der Hansestadt Hamburg/Behörde für Inneres ein Commons Criteria Schutzprol für das digitale WahlstiftSystem erarbeitet (siehe Volkamer u. Vogt, 2006). Das Schutzprol stellt eine detaillierte Analyse aller möglichen Bedrohungen gegen das Wahlstiftsystem dar, beschreibt die erforderlichen Gegenmaÿnahmen und zeigt, dass ein Wahlstiftsystem welches diese Gegenmaÿnahmen implementiert sicher ist. Das Wahlstiftsystem wird diesem Commons Criteria Schutzprol entsprechen und demnach eine vom BSI anerkannte Sicherheitszertizierung erhalten. Eine solche Zertizierung erachten wir für notwendig, denn es handelt sich beim Wahlstiftsystem um ein modernes Computersystem. Nach geltendem Recht ist in Deutschland zur Zulassung als Wahlsystem ausschlieÿlich eine Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt notwendig. Die Prüfkriterien nach denen die PTB Wahlsysteme prüft sind nicht oen gelegt. Die Wahlgeräte der Firma Nedap haben als bisher einzige Wahlgeräte in Deutschland eine solche Baumusterprüfung und Bauartzulassung erhalten. Darüber hinaus wurden von der Firma Nedap keine weiteren Zertizierungsmaÿnahmen in Deutschland durchgeführt. Im Abschnitt 5.3 gehen wir weiter auf die Problematik einer fehlenden Sicherheitszertizierung durch das BSI ein. Das digitale Wahlstiftsystem strebt neben der Baumusterzulassung durch die PhysikalischTechnische Bundesanstalt eine Sicherheitszertizierung nach Commons Criteria 2.3 an. Dies ist eine durch das Bundesministerium für Sicherheit in der Informationstechnik anerkannter Sicherheitsstandard für Computersysteme. Wahlmaschinen bei der Bundestagswahl 2009 19 4.3.2 Physische Manipulierbarkeit des Wahlsystems Physische Manipulierbarkeit meint die Möglichkeit das Wahlsystem önen zu können um mittels des so geschaenen Zugangs das Wahlsystem zu beeinussen oder Teile des Wahlsystems auszutauschen. Sicherheit gegen physische Manipulation beim Wahlstift-System Wie Volkamer u. Vogt feststellen, ist der Digitalstift der [einzige] Bestandteil des [Wahlsystems], der nicht unter ständiger Aufsicht des Wahlvorstands steht und der daher in besonderem Maÿe Gefährdungen der Manipulation ausgesetzt ist. (siehe Volkamer u. Vogt, 2006, S.21) Dieser Bedrohung kann begegnet werden, indem 1. der Wahlstift mit einer holograschen Versiegelung ausgestattet wird. 2. der Wahlstift bei jeder Ausgabe elektronisch signiert wird. Ein holograsches Siegel, mit dem der Stift bei der Abgabe als echter Wahlstift zu erkennen ist und der ein unautorisiertes Entfernen von Teilen des Stiftes verhindert, stellt ein bewährtes Sicherheitsmerkmal dar. Weitere Sicherheitsmerkmale sind, ähnlich wie bei Geldscheinen, denkbar. Elektronische Signierung heiÿt, dass der Wahlstift bei jeder Aktivierung an der Dockingstation mit einem kryptograschen Merkmal ausgestattet wird. Dieses Merkmal kann bei der Entgegennahme des Stiftes automatisch auf seine Korrektheit überprüft werden. Wird eine Abweichung festgestellt, wurde der Wahlstift manipuliert und rechtliche Konsequenzen können eingeleitet werden. Die übrigen Komponenten des Wahlstiftsystems benden sich zu jeder Zeit unter Aufsicht des Wahlvorstands. Damit ist das Wahlstiftsystem gegen physische Manipulation geschützt. Sicherheit gegen physische Manipulation bei DRE Systemen Im Gegensatz zum Wahlstiftsystem bendet sich bei den Wahlgeräten ESD1, ESD2 und ES3B der Firma Nedap und den AccuVote-TS und -TSX Geräten der Firma Diebold die komplette Wahlmaschine im Zugrisbereich des Wählers. Die Bedrohung gegen das Wahlsystem betrit also nicht nur das Eingabegerät für eine Stimme, sondern auch die Stimmzähleinheiten. Auf die Versiegelung muss also besonderes Augenmerk gelegt werden. In einem Bericht von Gonggrijp u.a. zu einer Sicherheitsanalyse der in den Niederlanden verwendeten ES3B wird über die ESD1 geschrieben: . . . the German version of this device, the ESD-1, apparently has a seal on the inside, covering the internal electronics housing. Even if one accepts the limitations of sealing listed above, this seal is grossly insucient because it is 20 Wahlmaschinen bei der Bundestagswahl 2009 truly trivial to bypass. It appears printed on paper and as far as we can tell uses none of the existing tamper-evident technologies. (siehe Gonggrijp, WillemJan Hengeveld, Engling, Mehnert, Rieger, Scheers, u. Wels, 2006, S.13) Ebenso zeigt eine Untersuchung der Diebold AccuVote-TS Wahlmaschine durch Feldman, Halderman, u. Felten an der Princeton University, dass potentielle Angreifer die Gehäuse der Wahlgeräte mit wenigen Handgrien önen können. Von beiden Untersuchungen werden die mangelhaften Versiegelungs- und Schlieÿmechanismen kritisiert. Diese Probleme sind zum einen durch mangelndes Sicherheitsbewusstsein der Hersteller (sieh dazu auch Ziegler, 2007) als auch durch die prinzipbedingte Exposition des kompletten Wahlgeräts an mögliche Angreifer verursacht. Die Sicherheit gegen physische Manipulation der auf dem Markt bendlichen DRE-Geräte von Diebold und Nedap ist als zweifelhaft zu bewerten. Das digitale Wahlstiftsystem wurde, im Gegensatz dazu, unter Betrachtung moderner sicherheitstechnischer Aspekte entworfen und wird mit Sicherheitsmerkmalen ausgestattet, die eine physische Manipulation nahezu ausschlieÿen. 4.3.3 Elektronische Manipulierbarkeit Die Möglichkeit die Software des Wahlsystems zu beeinussen, kann man als elektronische Manipulierbarkeit bezeichnen. Ist ein System elektronisch manipulierbar hat dies besonders schwere Konsequenzen zur Folge, denn eine Veränderung an der Software und den Daten eines Systems nachzuweisen ist sehr schwer. Im schlimmsten Fall kann sich ein Schadprogramm oder ähnliches, durch das das Wahlsystem kompromittiert wurde, nach erfolgter Beeinussung der Wahl selbst wieder Löschen und alle Spuren beseitigen. Dass dies mit den AccuVote-TS Wahlgeräten der Firma Diebold möglich ist, haben Feldman u. a. in ihrer Untersuchung gezeigt. Aufgrund von Fehlern in der Softwarearchitektur ist es möglich die auf den Geräten laufende Software zu verändern. Feldman u. a. haben zur Demonstration einen Computervirus erstellt, der sich durch Austausch der Speicherkarten für die Geräte, selbsttätig verbreitet. Wird ein solcher Virus in ausreichender Zeit vor der Wahl in Umlauf gebracht, ist eine signikante Beeinussung des Wahlergebnisses möglich (vgl. Feldman u. a., 2006). Die elektronische Manipulierbarkeit der Wahlgeräte der Firma Nedap wurde von der Niederländischen Aktivistengruppe Wij vertrouwen stemcomputers niet gezeigt, indem sie auf ein Modell der ES3B, die weitgehend Baugleich zur deutschen ESD1 ist, ein Schachprogramm sowie eine Software zur Beeinussung der Wahlergebnisse installiert haben. Auch dies lässt sich von einem gut vorbereiteten Angreifer durch wenige Handgrie an dem Gerät realisieren (vgl. Gonggrijp u. a., 2006). Wahlmaschinen bei der Bundestagswahl 2009 21 Auch hier zeigt sich wieder, dass eine Bauartprüfung durch die Physikalisch-Technische Bundesanstalt als einziges Zulassungskriterium bei den bisherigen, nicht-standardisierten Prüfverfahren kaum ausreicht um die Sicherheit eines elektronischen Wahlgeräts nachzuweisen. Das Wahlstiftsystem strebt eine Sicherheitszertizierung durch das BSI nach Commons Criteria 2.3 an. Weitere Zertizierungen der enthaltenen Software und Komponenten des Systems sind vorgesehen. Damit wird eine hohe Sicherheit gegen elektronische Manipulation erreicht. 4.4 Bedienung Der Wahlvorgang ist ein elementarer Bestandteil einer Demokratie. Deshalb ist es auÿerordentlich wichtig, dass jeder Wahlberechtigte auch in der Lage ist zu wählen. Die Wahl durch Papier und Stift ist ein seit Jahrzehnten bewährtes Mittel um dies sicher zu stellen. Die Wähler sind mit dem Wahlmedium vertraut. Der Wahlvorgang lässt sich in Bildungs- und Aufklärungsaktionen leicht vermitteln, denn zur Wiedergabe des Wahlprozesses mit einem Wahlzettel reichen einfache Printmedien aus. Interaktive Prozesse und Benutzeroberächen wie sie die AccuVote-TS Wahlgeräte der Firma Diebold besitzt, lassen sich schwer und nur unvollständig in Printmedien abbilden (siehe Evans u. Paul, 2004, S.27). Auch die Folientastatur bei Nedap Geräten stellt eine prinzipbedingte Änderung der Benutzerschnittstelle dar. Das digitale Wahlstiftsystem ist ein gegenüber der Papierwahl für den Benutzer völlig unveränderter Vorgang. Damit bleiben bewährte Möglichkeiten der Wähleraufklärung intakt und der Benutzer muss keine neuen Vorgänge erlernen. 4.5 Kosten Im Folgenden wird einen Kostenabschätzung für die Ausstattung eines Wahllokals mit dem digitalen Wahlstift System vorgestellt und mit vergleichbaren Angeboten für DREWahlgerät der Firmen Diebold Election Systems und Nedap/HSG Wahlsysteme GmbH verglichen. Bei den Abschätzungen wurde ein Bedarf für 500 Personen zugrunde gelegt. 22 Wahlmaschinen bei der Bundestagswahl 2009 Anzahl Produkt 1 Rechner Preis 700 EUR (PC mit Flachbildschirm oder Laptop vorinstalliertes Windows XP und Wahlsoftware) 1 Lizenz Wahlsoftware 550 Stimmzettel 100 EUR 27,50 EUR In 5 Cent pro Stück sind die Papier- und Druckkosten, sowie die Lizenzierung des Anoto-Rasters, eingerechnet. 3 Wahlstift und Dockingstations 600 EUR Digital Pen von Nokia SU-1B (Einzelpreis 164 EUR) Gesamtpreis 1427,50 EUR Die benötigte Ausstattung ist also für weniger als 1500 EUR erhältlich. Ein vergleichbares Angebot mit Nedap Wahlgeräten ist bei der Firma HSG Wahlsysteme GmbH erhältlich. Demzufolge liegt der Neupreis des Systems [. . . ] bei 4.100 EUR [. . . ] pro Gerät (siehe HSG Wahlsysteme, S. 1). Ähnliche Angebote der Firma Diebold für ein einzelnes AccuVote-TS Gerät liegen bei ca. 3000 US$, entsprechend 2316 EUR bei einem Wechselkurs von 1:1,295 (siehe ProCon Promoting Informed Citizenship, 2007) Das digitale Wahlstiftsystem kostet ca. 1000 EUR weniger pro Wahlplatz, ist damit deutlich günstiger als andere Wahlgeräte. 4.6 Barrierefreiheit Eine Demokratie lebt davon, dass ihre Bürger ihr Recht zur Mitbestimmung auch nutzen. Darum wird immer darauf geachtet die Ausübung des Wahlrechts für den Einzelnen so einfach wie möglich zu gestalten. So ist zum Beispiel im 16 Bundeswahlgesetz festgelegt, dass die Bundestagswahl immer an einem Sonntag oder bundeseinheitlichen Feiertag stattnden muss (vgl. BWahlG). Besondere Vorkehrungen müssen getroen werden, um auch Wahlberechtigten mit einer Behinderung zu ermöglichen ihr Wahlrecht auszuüben ohne dabei zu viele Hürden überwinden zu müssen. Sollen Wahlgeräte ächendeckend eingesetzt werden, so ist es wichtig, dass sie keine neuen Barrieren schaen. Die üblichen DRE-Wahlgeräte sind in rechteckigen Gehäusen untergebracht, die in den Wahlkabinen aufgestellt werden. Sie können einfach auf eine geeignete Unterlage gestellt werden. Für Rollstuhlfahrer entstehen also keine neuen Hürden, da diese genauso wie zuvor an die Schreibächen heranrollen können. Anders verhält es sich bei sehbehinderten Wahlmaschinen bei der Bundestagswahl 2009 23 Wählern. Nur ein Teil der auf dem Markt bendlichen Geräte sieht eine Beschriftung mit Brailleschrift vor oder hat die Möglichkeit einer Stimmausgabe (Hanken, 2005, vgl.). DREGeräte die mit einer Touchscreen Benutzerschnittstelle arbeiten, können prinzipiell nicht mit Brailleschrift ausgestattet werden. In den meisten Fällen wären Sehbehinderte also darauf angewiesen ihren Stimmzettel von einer Hilfsperson ausfüllen zu lassen. Ein zwar im Gesetz durchaus vorgesehener Vorgang (vgl. BWO, 57 Absatz 1), der aber einer eigenen Stimmabgabe auf keinen Fall vorzuziehen ist. Mit dem Wahlstiftsystem ist es jedoch, da sich der Vorgang der Stimmabgabe nicht vom momentan üblichen Wahlvorgang unterscheidet (vgl. Abschnitt 2.2), möglich die jetzt schon üblichen Stimmzettelschablonen einzusetzen (vgl. BWO, 57 Absatz 4). Für Rollstuhlfahrer ergeben sich nicht mehr Probleme als sie jetzt schon bestehen. Auch die Realisierung mobiler Wahlvorstände (vgl. BWO, 62 bis 64) ist mit dem Wahlstiftsystem leichter um zu setzen, als mit anderen Wahlgeräten, da der Wahlstift und ein zugehöriger Laptop leichter zu transportieren sind. Es wäre also nicht nötig an manchen Stellen auf die Schnelligkeit der elektronischen Zählung zu verzichten. Barrierefreiheit ist mit dem Wahlstiftsystem generell leichter zu gewährleisten als mit DREWahlgeräten, wie sie momentan auf dem Markt sind. 5 rechtliche Aspekte In diesem Abschnitt sollen die rechtlichen Aspekte der Einführung des Wahlstiftes als elektronisches Wahlgerät bei den Bundestagswahlen beleuchtet werden. Natürlich muss jedes Wahlgerät die durch das Grundgesetz und die Gesetze gestellten Anforderungen erfüllen. Insbesondere gehört dazu die Verordnung über den Einsatz von Wahlgeräten bei Wahlen zum Deutschen Bundestag und der Abgeordneten des Europäischen Parlaments aus der Bundesrepublik Deutschland, im folgenden als Wahlgeräteverordnung bezeichnet. 5.1 Das Öffentlichkeitsprinzip Bei der Wahl zum 16. Deutschen Bundestag wurden zum ersten Mal im gröÿeren Umfang Wahlmaschinen eingesetzt. Bei einigen Bürgern führte dies zu Bedenken, ob das in 10,Abs.1 und 31, Satz 1 Bundeswahlgesetz (vgl. BWahlG), kurz BWG, verankerte Öentlichkeitsprinzip der Wahl verletzt wurde. In mehreren Wahlkreisen kam es sogar zu einem Einspruch gegen das Ergebnis der Wahl. Hauptkritikpunkt war, dass durch die Ergebnisermittlung innerhalb der verwendeten Geräte keine öentliche Auszählung der Stimmen mehr stattnden würde, die Auszählung der Stimmen gar geheim wäre (vgl. Wiesner). Das Bundesministerium des Innern stellte in seiner Stellungnahme zu den Wahleinsprüchen 24 Wahlmaschinen bei der Bundestagswahl 2009 aus dem Mai 2006 fest, dass [. . . ] das Öentlichkeitsprinzip nicht grenzenlos gewährleistet [ist]. (Bundesministerium des Innern, 2006, S.9), es gar nicht grenzenlos gewährt werden kann, da es mit dem Ziel das Ergebnis einer Wahl so schnell wie möglich der Öentlichkeit zugängig zu machen im Konikt steht. Da der öentliche Zugang zu den Räumlichkeiten, in denen das Ergebnis ermittelt wird, weiter besteht und alle Kontrollfunktionen, die durch die Öentlichkeit der Wahl ermöglicht werden auch weiterhin erfüllt werden, besteht bei der Wahl mit Wahlgeräten keine Verletzung des Öentlichkeitsprinzips. Da der digitale Wahlstift prinzipiell so arbeitet wie die meisten anderen Wahlgeräte auch, vgl. Abschnitte 2.2 und 3.2, bestehen in Bezug auf das Öentlichkeitsprinzip der Wahl demnach keine Bedenken. Im Gegenteil, da eine reale Abgabe eines Stimmzettels Teil des Ablaufs ist, kann die Auszählung der Stimmen nachträglich noch genauso öentlich wie bei der momentan üblichen Papierwahl stattnden. 5.2 Die Wahlgeräteverordnung In der Wahlgeräteverordnung ist festgelegt, welche Bedingungen ein Wahlgerät erfüllen muss, um zu einer Wahl zugelassen werden zu können. In der Wahlgeräteverordnung wird von Systemen ausgegangen, die gänzlich in einem Gehäuse untergebracht sind. Zumindest kann 1 so interpretiert werden, und wurde er bis jetzt auch (vgl. BWahlGV). ' $ Das Wahlstift System besteht nun aus mehreren vollkommen autonomen Teilen, die nur zusammen die gewünschte Funktionalität an den Tag legen. Um einen Einsatz des Wahlstiftes bei der nächsten Bundestagswahl zu ermöglichen wäre eine Anpassung der Denition eines Wahlgerätes nötig. Es müsste die Möglichkeit aufgenommen werden, das ein Wahlgerät aus mehreren einzelnen Komponenten bestehen kann, die zusammen die Anforderungen der Wahlgeräte Verordnung erfüllen. & % 5.3 Bauartzulassung und Sicherheitszertifizierung Um eine Verwendungsgenehmigung für ein Wahlgerät durch das Bundesministerium des Innern zu erhalten, ist es bisher notwendig dem BMI eine Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt vorzulegen. Dies ist eine notwendige Voraussetzung, doch stellen moderne Wahlgeräte komplexe Computersystem dar. Die 1975 vom BMI erlassene Bundeswahlgeräteverordnung geht aber von mechanischen und einfachen elektromechanischen Wahlgeräten aus. Sowohl die sich auf dem Markt bendenden Geräte der Firma Nedap, als auch die Geräte der Firma Diebold und das Wahlstiftsystem stellen allerdings keine solche einfachen Geräte mehr dar (siehe dazu auch Sietmann, 2006c). Für die Prüfung der Sicherheit von Computersystem ist es in Deutschland üblich eine Zertizierung nach Sicherheitskriterien des Bundesamtes für Sicherheit in der Informationstechnik Wahlmaschinen bei der Bundestagswahl 2009 25 vorzunehmen. Für das Wahlstiftsystem wurde ein Commons Criteria Schutzprol erstellt und liegt dem BSI unter der Zertizierungskennung BSI-PP-0031 vor. Eine solche Zertizierung stellt sicher, dass mögliche Bedrohungen gegen das betroene System ausgiebig analysiert werden und im System entsprechende Gegenmaÿnahmen getroen werden. Wir empfehlen daher die Voraussetzungen für eine Bauartzulassung in der Bundeswahlgeräteverordnung zu ergänzen. Handelt es sich bei dem zuzulassenden System um ein vollständig elektronisches System, so sollte zusätzlich eine Sicherheitszertizierung nach anerkannten Sicherheitskriterien des BSI erfolgen. 5.4 Diskrepanzen zwischen elektronischem und Papier-Ergebnis Bei allen Wahlsystemen, die neben der elektronischen Datenerfassung noch einen Papertrail haben stellt sich die Frage, welche Methode der Stimmerfassung letztlich verbindlich ist, sollte sich bei einer Nachzählung der Papierstimmzettel eine Diskrepanz zum elektronischen Ergebnis herausstellen. In Staaten, in denen solche Systeme zur Wahl eingesetzt werden, sind unterschiedlichste Regelungen dazu getroen worden, und natürlich muss auch in der Bundesrepublik Deutschland für einen solchen Fall eine Regelung geschaen werden. Bei der Auswertung der Stimmen aus dem Wahlsystem lässt der Wahlvorstand die gröÿte Sorgfalt wallten. Auch das System selbst ist durch ausführliche Tests so sicher, dass von der Richtigkeit des Ergebnisses ausgegangen werden kann. Sollte es aber nach 2 Wahlprüfungsgesetz (vgl. WahlPrG) zu einem Einspruch gegen die Wahl kommen und im Zuge des Wahlprüfungsverfahrens zu einer Auszählung der Papierstimmzettel, muss davon ausgegangen werden, das versucht wurde das elektronische System zu manipulieren, weswegen in einem solchem Fall dem Ergebnis der Auszählung der Papierstimmen der Vorzug zu geben wäre. Da eine Manipulation des elektronischen Verfahrens niemals Auswirkungen auf die vom Wähler selbst ausgefüllten Stimmzettel haben kann. Wir empfehlen deshalb nur im Falle einer durch Verdacht auf einen Manipulationsversuch ausgelösten Nachzählung, das elektronische Zählungsergebnis zu verwerfen und dem von Hand ermittelten Ergebnis den Vorzug zu geben. 6 Zusammenfassung und Fazit Internationale Expertenteams haben gezeigt, dass klassische DRE-Maschinen ohne VVPAT viele Probleme aufwerfen. Diese sind sowohl sicherheitstechnischer Natur (siehe Abschnitt 4.3) als auch rechtlicher Natur. Es ist fragwürdig ob reine DRE-Maschinen dem Prinzip der 26 Wahlmaschinen bei der Bundestagswahl 2009 öentlichen Auszählung genügen (siehe dazu Abschnitt 5.1). Ein sog. Voter Veriable Paper Audit Trail löst einige dieser Probleme, doch nicht alle (siehe Abschnitt 4.2). DRE-Wahlmaschinen bieten noch nicht das Maÿ an Vertrauenswürdigkeit, welches für eine gute, demokratische Wahl notwendig ist. Das digitale Wahlstiftsystem vereinigt die Vorteile der elektronischen Wahl mit den Vorteilen der Papierwahl. Dabei bleibt der Wahlvorgang für den Wähler nahezu identisch zur bisherigen Papierwahl (siehe dazu Abschnitte 4.4 und 2.2). Die elektronische Auszählung der Stimmen wird über die Verwendung eines Digitalstiftes realisiert. Eine genaue Beschreibung des Verfahrens bendet sich unter Abschnitt 2. Umfragen bei Testwahlen in Hamburg und Mainz haben gezeigt, dass die Wähler das Verfahren gut akzeptieren. DRE-Wahlmaschinen haben bei älteren Untersuchungen zwar ähnliche gute Ergebnisse erreicht, die neuen Erkenntnisse bzgl. ihrer Sicherheitsprobleme und die damit verbundene Presseaktivitäten lassen jedoch befürchten, dass dies berechtigterweise nicht so bleiben wird. Ein unsicheres System wird auf Dauer das Vertrauen der Wähler verlieren (siehe dazu Abschnitt 4.1). Das digitale Wahlstiftsystem wurde von Anfang an als ein komplexes Computersystem betrachtet und den daraus resultierenden Sicherheitsaspekten wird Rechnung getragen. Dies geschieht z.B. durch eine Sicherheitszertizierung nach Commons Criteria Richtlinien, die durch das Bundesamt für Sicherheit in der Informationstechnik als Zertizierungsmethode anerkannt sind (siehe dazu Abschnitt 4.3.1). Diese Zertizierungsstandards sollten als Zulassungskriterium für DRE-Wahlmaschinen eingeführt werden, da es sich bei ihnen auch um komplexe Computersysteme und nicht um einfache mechanische oder elektromechanische Wahlgeräte handelt, wie sie in der Bundeswahlgeräteverordnung angedacht sind. Des Weiteren schreibt die Bundeswahlgeräteverordnung enge Grenzen für die mögliche technische Umsetzung von Wahlgeräten vor, so dass das Wahlstiftsystem mit seinen Vorteilen, nicht in diese Grenzen fällt. Die Bundeswahlgeräteverordnung muss deshalb in dieser Richtung überarbeitet werden, damit es kompatibel zu innovativen, neuen Konzepten bleibt (siehe dazu Abschnitt 5.2). Eine kurze Kostenanalyse hat gezeigt, dass das digitale Wahlstiftsystem in seiner Anschaffung deutlich günstiger wird als vergleichbare Angebote der Firma Diebold oder Nedap. Bei einer bundesweiten Wahl und der aktuellen Haushaltslage in der Bundesrepublik Deutschland sollte dies ein wichtiger Entscheidungsfaktor sein. Betrachtet man die Wichtigkeit einer bundesweiten Wahl, dann kann eine Entscheidung über den Einsatz von Wahlmaschinen in anbetracht der angebrachten Bedenken nur gegen DREWahlmaschinen ausfallen. Das digitale Wahlstiftsystem stellt eine zuverlässige und rechtlich unbedenkliche Alternative dar und demonstriert die Leistungsfähigkeit der deutschen ITIndustrie und der Innovationskraft des Industriestandorts Deutschland. Wahlmaschinen bei der Bundestagswahl 2009 27 Literatur [Bundesministerium des Innern 2006] Bundesministerium des Innern: zu den Wahleinsprüchen 76/05, 108/05, 145/05. Mai 2006 Bundeswahlgesetz. bundesrecht/bwahlg/gesamt.pdf [BWahlG ] Stellungnahme http://bundesrecht.juris.de/ BWahlG: Verordnung über den Einsatz von Wahlgeräten bei Wahlen zum Deutschen Bundestag und der Abgeordneten des Europäischen Parlaments aus der Bundesrepublik Deutschland. http://bundesrecht.juris.de/bundesrecht/bwahlgv/ gesamt.pdf [BWahlGV ] BWahlGV: BWO: Bundeswahlordnung. http://bundesrecht.juris.de/bundesrecht/ bwo_1985/gesamt.pdf [BWO ] [Chaum Chaum, 2004] D.: Secret-ballot receipts: True voter-veriable IEEE Security & Privacy Magazine 2 (2004), Nr. 1, ieeecomputersociety.org/10.1109/MSECP.2004.1264852 In: Chaum, [Chaum u. a. 2004] D. ; Ryan, P.Y.A. ; Schneider, ESORICS 3679 (2004), ac.uk/research/pubs/trs/papers/880.pdf veriable election scheme. In: [Commission on Federal Election Reform 2005] 3847. S.: 118139. elections. http://doi. A practical, voter- http://www.cs.ncl. Commission on Federal Electi- on Reform: Building Condence in U.S. Elections - Report of the Commission on Federal Election Reform. http://eff.org/Activism/E-voting/cb_commission_ report.pdf. Version: September 2005 [Evans u. Paul 2004] Evans, D. ; Paul, N.: Election security: Perception and reality. Security & Privacy Magazine, IEEE 2 (2004), Nr. 1, ieee.org/xpl/freeabs_all.jsp?arnumber=1264850 In: [Feldman u. a. 2006] Feldman, A.J. ; Halderman, J.A. ; 2431. http://ieeexplore. Felten, E.W.: Security Ana- lysis of the Diebold AccuVote-TS Voting Machine / Princeton University. Version: 2006. http://itpolicy.princeton.edu/voting/ts-paper.pdf. 2006. Forschungsbe- richt [Gonggrijp ; u. a. Engling, Wels, 2006] Dirk Barry: ; Gonggrijp, Mehnert, Rop Hannes Nedap/Groenendaal Willem-Jan Hengeveld, ; ; ES3B Rieger, voting Frank computer The "We do not trust voting computers"foundation. Andreas Scheffers, ; - a security Version: 2006. wijvertrouwenstemcomputersniet.nl/other/es3b-en.pdf. B. Pascal analysis ; / http://www. 2006. Forschungs- bericht Elektronisches NON zur EU-Verfassung. http://www. o-tan.fr/article.php3?id_article=1666. Version: Juni 2005. aus dem Franzö- [Hanken 2005] Hanken, Claas: sischem L'observatoire des territoires et administrations numérique 28 Wahlmaschinen bei der Bundestagswahl 2009 [Herrnson u. Bederson 2003] Herrnson, ryland's New Voting Machine. (2003). 1903/1247/1/CS-TR-4429.pdf P.S. ; Bederson, B.B.: An Evaluation Of Ma- https://drum.umd.edu/dspace/bitstream/ Angebot über 74 Nedap-Wahlmaschienen an die Stadt Cottbus. http://ptrace.fefe.de/cottbus/Anlage3_II-025-06.pdf. [HSG Wahlsysteme ] HSG Wahlsysteme: vom 24 Juli 2006 [Landeswahlleiter Freie Hansestadt Hamburg 2005] stadt Hamburg: Landeswahlleiter Freie Hanse- Pilotstudie zum Digitalen Wahlstift / Behörde für Inneres Ham- http://fhh.hamburg.de/stadt/Aktuell/wahl/ digitaler_20wahlstift/pilotstudie,property=source.pdf. 2005. Forschungsburg. Version: Dezember 2005. bericht [Mercuri 2001] (2001). Mercuri, Rebecca T.: Electronic vote tabulation checks and balances. http://repository.upenn.edu/dissertations/AAI3003665 [Mercuri 2002] Spectrum, IEEE 39 (2002), http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber= Mercuri, Nr. 10, 4650. 1038569 Benutzerhandbuch für den Nokia Digitalstift (SUhttp://nds1.nokia.com/phones/files/guides/Nokia_Digital_Pen_ [Nokia Group 2003] 1B), 2003. UG_de.pdf Rebecca T.: A better ballot box? In: Nokia Group: Portal Systems: Digital Pen - Das Verfahren ausführlich. http: //www.portal-systems.net/index.php?action=show_site&id=135 [Portal Systems ] [ProCon - Promoting Informed Citizenship 2007] ProCon - Promoting Informed Citizenship: Q&A - How much does it cost to purchase an electronic voting machine? http://www.votingmachinesprocon.org/questions/cost.htm. Version: Februar 2007 [Prof. Dr. Sarcinelli u. Thomsen 2001] Prof. Dr. Sarcinelli, Ulrich ; Thomsen, Ni- Einsatz elektronischer Stimmenzählgeräte bei der Wahl zum vierzehnten Landtag Rheinland-Pfalz am 25.03.01, Studie im Auftrag des rheinland-pfälzischen Ministerium des Innern und für Sport. September 2001 na: [Sietmann 2006a] Sietmann, Richard: Dreimal drücken - fertig? In: http://www.heise.de/ct/05/19/054/ [Sietmann 2006b] Sietmann, Richard: Eine Neue Situation. In: http://www.heise.de/ct/06/24/072/ [Sietmann 2006c] Sietmann, c't c't 19 (2006), p54. 24 (2006), p72. Richard: Obskure Demokratie-Maschine. In: c't 20 (2006), S. p86 [Sietmann 2006d] Sietmann, Richard: Schach dem E-Voting. http://www.heise.de/ct/06/22/052/ Wahlmaschinen bei der Bundestagswahl 2009 In: c't 22 (2006), p52. 29 [Sietmann 2006e] Sietmann, Richard: Der Stift-Kompromiss. In: http://www.heise.de/ct/06/06/090/ c't 6 (2006), p90. Test des digitalen Stifts Landtagswahl 2006 - Dokumentation. http://www.mainz.de/C1256D6E003D3E93/files/dokumentation_ wahlstift_2006.pdf/%24FILE/dokumentation_wahlstift_2006.pdf. [Stadt Mainz 2006] Stadt Mainz: Version: März 2006 [Statistisches Amt für Hamburg und Schleswig-Holstein 2005] Statistisches Test des Digitalen Wahlstifts - Ergebnisse der Befragung zur Bundestagswahl 2005 in Hamburg. http://fhh.hamburg.de/stadt/Aktuell/wahl/digitaler_20wahlstift/ anhang_20VIII__befragungsbericht,property=source.pdf. Version: Dezember Amt für Hamburg und Schleswig-Holstein: 2005 [Volkamer teria für u. Vogt Schutzprol künstliche 2006] Volkamer, Digitales Intelligenz Melanie Wahlstift-System GmbH, Behörde für ; Vogt, / Roland: Deutsches Inneres Common Cri- Forschungszentrum Hamburg. Version: 2006. http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/ 31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property= source.pdf. 2006. Forschungsbericht Wahlprüfungsgesetz. bundesrecht/wahlprg/gesamt.pdf [WahlPrG [Wiesner ] ] WahlPrG: Wiesner, Ulrich: Bundestag [Ziegler 2007] tion. In: Ziegler, http://bundesrecht.juris.de/ Einspruch gegen das Ergebnis der Wahlen zum 16. Deutschen Peter-Michael: Diebold-Wahlmaschinen: Schlüssel zur Manipula- heise news/c't (2007). http://www.heise.de/newsticker/meldung/84345 Alle Internet-Links wurden am 02.Februar 2007 kontrolliert. Auf Anfrage sind Kopien diesen Datums bei den Autoren erhältlich. 30 Wahlmaschinen bei der Bundestagswahl 2009